Inspired by Insecure

January 3, 2010 at 12:56 pm

Cookies Sniffer – последний шаг на пути к эксплуатации XSS.

Cookies Sniffer

Каждый уважающий себя ресурс, посвященный информационной безопасности, должен обзавестись инструментами, помогающими эту самую безопасность строить (кто сказал ломать?).

Не знаю, традиция ли это – размещать онлайн-версии утилит, или потребность, но уверен точно – этими самыми утилитами пользуются. Вот и «Дефек» обзавелся собственным разделом, предназначенным для облегчения жизни администраторам, аудиторам (хакерам?) и конечным  пользователям. Перечисление не в порядке приоритета, просто пользователи, как показывает статистика и практика, не так сильно обеспокоены состоянием безопасности своей информации… Эти вопросы обязательно рассмотрим в других материалах, а сейчас я бы хотел перейти к описанию первого сервиса, уже функционирующего в новом разделе «Online-сервисы».

Cookies Sniffer – как можно догадаться из названия, перехватчик кукис-файлов, в которых подавляющее большинство сайтов хранит конфиденциальные данные, например, хешированное значение пароля своего законного владельца. Метод перехвата основан на использовании атаки типа «межсайтовый скриптинг» (crosssite scripting ,также известную как XSS). Не понаслышке знакомые с информационной безопасностью читатели поймут о чем я, остальных прошу ознакомиться со следующей темой на форуме Античат.ру, автор которой прекрасно объясняет новичкам тонкости  данного типа атак.

Снифер готов к использованию. По мере поступления предложений от пользователей, буду расширять его функционал.

С Новым 2010 годом! Пусть все Ваши идеи будут реализованы, и количество шагов к цели заметно сократится при увеличении длины шага! Ну Вы поняли, о чем я ;).

0 likes Blog # , , , ,
Share: / / /

7 thoughts on “Cookies Sniffer – последний шаг на пути к эксплуатации XSS.

  1. jad says:

    можно просматривать только 50 последних?

    1. c0n Difesa says:

      Да. Так как снифер публичный, то только 50 последних.

  2. Rapiz says:

    Я украл пороль мыла через фейк, и что все зарегистрированные пользователи этого сайта могут их видеть через Online Cookies Sniffer??? Могу я удалить свои добытые даные????

    1. c0n Difesa says:

      Это публичная версия снифера, а значит, даже незарегистрированные пользователи видят последние 50 лог-файлов.

  3. Rapiz says:

    А Вы знаете не публичные снифферы, кроме hacker-pro онлайн-сниффер и na-s web sniffer.

    Буду очень признателен. Спасибо.

    1. c0n Difesa says:

      Теперь Cookies Sniffer поддерживает использование в “приватном” режиме. Подробности: http://defec.ru/private_cookies_sniffer

  4. sock2013 says:

    ilovesniffer

Leave a Reply

Your email address will not be published. Required fields are marked *

Author
Denis Makrushin
[email protected]
Be aware of the first

Материалы, опубликованные в этом блоге, отражают исключительно точку зрения автора и могут не совпадать с мнением и позицией его текущего работодателя.